從所有方面來看,IT行業似乎都在輸掉對抗網絡攻擊的戰爭,但企業在安全產品上的支出仍在不斷增加。
例如,根據Marsh公司和微軟公司在去年年底發布的一份調查報告,2019年網絡安全市場規模超過1240億美元。盡管花費了這么多支出,但網絡犯罪在2019年全球各地的組織損失了大約1萬億美元。
在被調查的受訪者中,79%的受訪者將網絡風險排在前五位,而2017年為62%,但是由于對網絡安全措施的信心全面下降。在了解和評估網絡威脅方面,有29%的受訪者表示他們對2017年充滿信心,而在2019年這一比例下降到23%。同時,對評估威脅的能力完全沒有信心的受訪者數量翻了一番,從9%增加到18%。
同樣,對緩解或阻止網絡攻擊的能力完全沒有信心的企業比例從12%上升到19%,而對響應或管理網絡攻擊的能力沒有信心的企業比例從15%上升到22%。
報告作者說:“缺乏信心的部分原因可能是企業從對網絡安全技術不斷增加的投資中看到的影響相對較小。”
同時,鑒于威脅形勢和合規性要求不斷提高,大多數企業洋會考慮減少網絡安全支出。根據CIO雜志的2020年首席信息官現狀調查,普通公司現在將其IT預算的16%用于網絡安全。EnterpriseStrategyGroup上月底發布的一項調查報告表明,62%的企業計劃在2020年增加網絡安全支出,而55%的組織計劃總體上增加IT支出。
倫敦網絡安全商Garrison公司創始人兼首席技術官HenryHarrison表示,顯然,犯罪分子正在變得越來越高明。但是問題是,防御者為什么不與時俱進呢?網絡攻擊者變得越來越聰明,并使用越來越復雜的技術。攻擊面正在不斷擴大,其中包括云計算、物聯網、人工智能和其他新興技術。但是在網絡安全支出方面,許多公司開展的工作比較盲目。
Harrison說:“人們在不了解網絡安全技術是否有效的情況下,在網絡安全技術上花費了大量資金。”
部分問題可能是,很多企業在跟蹤網絡安全支出的投資回報率方面做得不好。根據SANS協會在今年一月進行的一項調查,只有35%的受訪者表示,根據投資成本來衡量他們的安全計劃的有效性。報告作者BarbaraFilkins表示,這使得負責安全事務的管理人員無法證明向企業管理層進行必要投資的合理性。
企業支付的成本物有所值嗎?
在SANS調查中確實衡量網絡安全有效性的那些企業中,最常見的策略(由59%的受訪者使用)是計算攻擊面的減少。44%的受訪者關注合規性的提高,41%的受訪者關注了響應的速度和準確性,18%的受訪者關注了他們是否能夠降低網絡安全成本。
TalaSecurity公司首席執行官AanandKrishnan表示:“一些供應商正在提供投資回報率測量工具,以幫助安全團隊跟蹤其安全工具的性能。但目前可用的工具尚不成熟。”在安全績效管理方面,他們隱瞞的比披露的要多。””
另一種方法是使用MITRE、NIST、COBIT、CISQ等行業框架和標準。雖然它們越來越復雜,但這些框架往往是通用的。Krishnan說,“首席信息安全官必須花費大量時間來調整這些框架,使之與他們的IT狀況相關。”
最后,有時看起來每個安全供應商都承諾要解決存在的所有安全問題,很難具體說明他們的技術是做什么的。他說,“企業最終會出現供應商膨脹的問題,這將使網絡安全預算不斷擴大。”
炒作和混淆
漏洞發生的地點與當前熱門的網絡安全技術之間也存在不一致的地方。KnowBe4公司數據驅動防御傳道者RogerGrimes說,缺乏補丁程序和網絡釣魚電子郵件是造成大多數安全事件的原因,但這些問題并不是引起所有炒作和關注的原因。
他說:“網絡安全防御廠商是推銷員。他們被迫在潛在客戶中產生恐懼和恐慌的感覺,以出售他們的產品。這就是他們為謀生而做的事情。”
根據Valimail公司在12月發布的一項調查,有53%的受訪者表示,大多數或所有網絡安全供應商在推銷產品時都會使用不清楚或模棱兩可的數據。此外,有42%的人表示網絡安全產品確實會有時提供價值,但很難或不可能證明其價值,而有44%的人表示大多數或所有供應商都對他們的技術感到困惑。
Valimail公司首席營銷官DavidApplebaum表示,許多供應商都相信客戶會與他們在一起。他說:“對于大多數已經在特定平臺上進行了標準化的客戶來說,很難切換并再次進行所有供應商的所有評估。人們普遍認為,它們都不比其他公司要好,因此尋找另一家安全廠商并不一定會提高滿意度。然后,人們擔心任何干擾都會使其容易受到攻擊。”
可能很容易將技術效率低下歸咎于供應商,而對銷售人員的混淆則歸咎于它們。在許多情況下,他們應該受到譴責。但是,企業自身也應承擔很多責任。
例如,根據ISACA的2020年安全狀態報告,良好的企業風險管理策略的一個基石是對可以承受的風險有所了解,但是只有35%的企業清楚地了解其網絡風險承受能力和企業風險。當企業甚至不知道其目標是什么時,很難知道是否已實現網絡風險防御目標。
